Nacionalni CERT

O rootkitovima

Rootkit je vrsta malicioznog softvera koja napadaču omogućuje udaljenu administrativnu kontrolu nad računalom. Oni su posebno dizajnirani da budu nevidljivi na računalu kojeg zaraze.  Rootkit računalo može zaraziti na više razina:

  • Aplikacijska razina - Rootkit napada korisničke aplikacije na računalu. Ovi rootkitovi su klasični trojanski konji i imaju smanjenu mogućnost skrivanja na sustavu.
  • Razina sistemskih biblioteka - Na ovoj razini rootkit napada sistemske biblioteke mjenjajuči njihov izvršni kod u radnoj memoriji računala.
  • Razina operacijskog sustava - Rootkit se ubacuje duboko u jezgru operacijskog sustava. Ovo su danas najčešći rootkitovi. Gotovo ih je nemoguće otkriti budući da djeluju na istoj razini kao i operacijski sustav koji upravlja računalom.
  • Razina upravitelja virtualnim strojem - Rootkit koji djeluje na ovoj razini zaobilazi operacijski sustav i nemoguće ga je otkriti iz njega.
  • Razina hardvera/ugrađenih programa - Rootkit svoj izvršni kod implementira direktno u hardveru računala koristeći ugradbeni programski kod.

Najčešći današnji rootkitovi su oni koji djeluju na razini operacijskog sustava. Njihov razvoj je dugotrajan i tehnički zahtjevan, ali kada zarazi računalo mogu proći mjeseci pa čak i godine prije nego bude primjećen. Neki sigurnosni stručnjaci idu toliko daleko te ističu da je jedini način otklanjanja takvih rootkitova potpuno brisanje diska i reinstalacija cijelog sustava. Zbog toga su u borbi protiv rootkitova učinkovite jedino mjere prevencije. Uz općenite savjete za prevenciju malvera kod rootkitova je posebno važno pripaziti na:

  • Redovito ažuriranje cijelog operacijskog sustava
  • Pažljiva instalacija upravljačkih programa. Potrebno je instalirati samo one upravljačke programe koji dolaze iz provjerenih izvora.